La politica del cloud sovrano prevista dal Cybersecurity act spacca l’Unione europea in due: il sistema di certificazione per i servizi cloud (Eucs) trova il suo fronte del no in un gruppo di 11 Paesi membri. Le motivazioni, ma anche le possibili soluzioni, sono contenute nel joint non-paper “Perspective on Cloud certification and data sovereignty under the Cybersecurity Act” (SCARICA QUI IL DOCUMENTO COMPLETO) firmato da Danimarca, Estonia, Finlandia, Grecia, Irlanda, Lettonia, Lituania, Polonia, Slovacchia, Svezia e Paesi Bassi.
Sul fronte opposto ci sono Francia, Italia e Spagna, che sostengono fortemente la linea del commissario Ue Thierry Breton sulla sovranità tecnologica. Nelle ultime settimane le due parti opposte hanno cercato un potenziale compromesso. Il documento congiunto è stato sviluppato in questo contesto, in quanto stabilisce sei scenari per stimolare il feedback degli altri Stati membri.
Il non-paper è un documento informale o non ufficiale che viene fatto circolare in maniera ufficiosa a scopo esplorativo, per tastare il terreno su potenziali accordi senza che chi lo presenta debba pronunciarsi ufficialmente sulle questioni in discussione.
Il dibattito sul cloud sovrano
Il Cybersecurity certification scheme for cloud services (Eucs) è il primo sistema di certificazione per i fornitori cloud ai sensi della legge sulla sicurezza informatica dell’Ue. È stato fortemente voluto dalla Commissione europea, che ha incaricato l’Enisa della redazione dei criteri. Questi requisiti di sovranità hanno lo scopo di impedire che i dati dell’Ue finiscano nelle mani di giurisdizioni straniere, in particolare imponendo la localizzazione dei data center in Europa e l’immunità dalle leggi non-Ue.
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
Sebbene il sistema di per sé non sia obbligatorio, il livello di garanzia “alto” potrebbe diventare obbligatorio per settori come l’energia e la finanza, ritenuti altamente critici nella nuova direttiva sulle reti e i sistemi informativi (Nis 2).
I rischi per il mercato
Alcuni Stati membri sono favorevoli all’introduzione dei criteri per la certificazione Eucs poiché ritengono che ciò consentirebbe alle aziende di differenziare sul mercato del cloud i servizi che garantiscono un elevato livello di protezione dalle leggi di paesi terzi in grado di minacciare la riservatezza dei dati degli utenti europei ospitati nel cloud, si legge nel documento non ufficiale (definito “non paper”).
Altri Stati membri nutrono forti preoccupazioni al riguardo, perché prevedono conseguenze economiche enormi e negative per il settore cloud, i suoi partner nella catena del valore online e i suoi clienti, prosegue il non-paper. Questi Stati membri si rammaricano anche dell’assenza di una valutazione dell’impatto economico sui requisiti per il cloud sovrano e preferirebbero cercare prima un mandato politico. Inoltre, temono un’inutile “corsa verso l’alto”, ovvero verso il livello di garanzia elevato.
Il documento chiede alla Commissione di valutare il potenziale impatto economico dei requisiti di sicurezza e in che misura sarebbero compatibili con le leggi sul libero commercio.
Sei possibili scenari
Questi i sei scenari proposti per stimolare il feedback di altri Stati membri.
Sub/Sub+ and High. La prima opzione comporta l’istituzione di un livello aggiuntivo di garanzia nello schema suddividendo in due il livello “substantial”, uno leggermente inferiore che mantiene i requisiti di immunità e il secondo…
